云安全日报211013：红帽Web服务器发现请求伪造漏

10月13日,RedHat发布了安全更新，修复了红帽httpd Web服务器中发现请求伪造漏洞。以下是漏洞详情

漏洞详情

来源https://aess.redhat./errata/RHSA-2021:3837

CVE-2021-40438 CVSS评分9.0 严重程度高

在httpd的mod_proxy 中发现了服务器端请求伪造 (SSRF) 漏洞。此漏洞允许未经身份验证的远程攻击者使httpd服务器将请求转发到任意服务器。攻击者可以获取、修改或删除其他服务上的资源，这些资源可能位于防火墙后面，否则无法访问。此漏洞的影响因httpd网络上可用的服务和资源而异。

受影响产品和版本

Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.1 x86_64

Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 8.1 s390x

Red Hat Enterprise Linux for Poer, little endian - Extended Update Support 8.1 ppc64le

Red Hat Enterprise Linux for ARM 64 - Extended Update Support 8.1 aarch64

Red Hat Enterprise Linux Server (for IBM Poer LE) - Update Services for SAP Solutions 8.1 ppc64le

Red Hat Enterprise Linux Server - Update Services for SAP Solutions 8.1 x86_64

解决方案

红帽已发布安全更新， httpd模块升级到httpd:2.4版本可修复

有关如何应用此更新（包括本公告中描述的更改）的详细信息，请参阅

https://aess.redhat./articles/11258

安装更新的软件包后，httpd 守护进程将自动重新启动。

查看更多漏洞信息 以及升级请访问官网

https://aess.redhat./security/security-updates/#/security-advisories